„Zranitelnosti edge zařízení: případ Fortinet“

FortiGate nabízí robustní IPS engine, snadné GUI a bohatý ekosystém, což z něj dělá oblíbené řešení pro střední a větší podniky. Přesto, stejně jako u každého síťového zařízení, je potřeba sledovat zranitelnosti a záplatování.

Vzhledem k rozšířenosti Fortinet zařízení u českých poskytovatelů je důležité sledovat právě jejich zranitelnosti — nejen kvůli technickému dopadu, ale i kvůli reputaci celé sítě.

Fortinet má za sebou celou řadu zranitelností s CVSS skóre vyšším než 9, nejen ten slavný CoatHanger (CVE-2022-42475, 9.3). Tady je výběr těch nejzásadnějších:

🧠 Co z toho plyne?

• Fortinet má více než 5 zranitelností s kritickým skóre nad 9.0 jen za poslední 2 roky
• Většina se týká SSL-VPN, autentizace, nebo správy přes webové rozhraní
• Některé byly aktivně zneužívány jako zero-day (např. CVE-2022-40684, CVE-2024-55591)

Z pohledu čísel, tak některý novější CVE u Fortinetu (např. CVE-2024-55591 nebo CVE-2022-40684) mají skóre 9.6, což je o 0.3 bodu vyšší než slavný CoatHanger (CVE-2022-42475, 9.3). A přitom se o nich tolik nemluví, protože:

• Nemusely být tak masivně zneužity (ale technicky byly stejně kritické)
• Neinstalovaly rootkit, ale třeba umožnily admin přístup přes HTTP hlavičku
• Běžely na novějších FortiOS verzích, což se dotklo méně legacy zařízení

🔐 Ale co to reálně znamená?

• V systému jako FortiGate, kde je klíčem admin panel, je každá chyba v autentizaci nebo CLI fatální, a ta +0.3 tě může smazat z mapy stejně jako malware
• Zero-day v SSL-VPN nebo bypass přes websocket = neautorizovaný přístup k celé síti
• CVSS 9.6 není jen „vysoké číslo“ — to je oficiální pečeť, že bez patche můžeš ztratit kontrolu nad infrastrukturou

💬 Takže jo — CoatHanger si odnesl věhlas, protože to byla sofistikovaná infiltrace, ale některé novější zranitelnosti s vyšším skóre jsou možná jednodušší na zneužití, zato stejně destruktivní.

Zveřejnění technických rizik má smysl nejen pro konkurenci, ale pro všechny provozovatele sítí. Cílem článku není kritizovat konkrétní značku, ale upozornit na bezpečnostní výzvy, které se mohou dotknout každého zařízení u hranice s internetem.

„Článek vznikl jako přehled pro správce, kteří hledají přehled o aktuálních rizicích na síťové hraně. Budeme rádi za zpětnou vazbu a další tipy na bezpečnostní incidenty, které by komunita měla znát.“

„Pokud má výrobce k obsahu připomínky nebo doplnění, rádi prostor upravíme a aktualizujeme.“

Fortiguard PSIRT

„Selhání edge zařízení nemusí být vždy otázkou špatného nastavení na straně uživatele, ale často jde o limity samotné implementace. Uzavřený firmware, závislost na cloudové registraci nebo tichá oprava zranitelnosti – to jsou rizikové faktory, které by měl brát v potaz každý správce.“

„Firewall jako brána do sítě není jen o tom, co propustí — ale i o tom, jestli sám není zadními vrátky. Výpadek, zneužití nebo zpožděné aktualizace mohou mít vážné dopady i bez přímého přístupu k datům.“

„Článek nehodnotí značku, ale situaci, kdy se technologická důvěra mění v systémové riziko. Je důležité ukazovat příklady, ze kterých se může infrastruktura poučit.“

„Incident s malwarem CoatHanger není jediný svého druhu — ale ukazuje, jak klíčové je vědět, co zařízení dělá nejen ve chvíli, kdy funguje, ale i když selže.“

„Bezpečnostní zranitelnost CVE-2022-42475 byla aktivně zneužívána v době, kdy ještě nebyla veřejně oznámena. Podle zprávy MIVD byla součástí cíleného kybernetického útoku skupinou napojenou na čínský stát.“

Chyba byla přímo ve FortiOS, tedy v softwaru FortiGate zařízení.

Nešlo o špatnou konfiguraci, ale o kritickou zranitelnost, kterou Fortinet sice opravil, ale neoznámil včas, což umožnilo čínským státním hackerům provést masivní útok.

🧨 Co se přesně stalo?

• V roce 2022–2023 byla objevena zranitelnost CVE-2022-42475 → heap-based buffer overflow v SSL-VPN komponentě FortiOS → umožnila vzdálené spuštění kódu bez autentizace
• Podle zprávy nizozemské vojenské rozvědky MIVD z 12. prosince 2023 byla zranitelnost CVE-2022-42475 aktivně zneužívána jako zero-day útok dříve, než ji Fortinet veřejně oznámil.
• Fortinet ji potichu opravil 28. listopadu 2022, ale oznámení vydal až 12. prosince 2022→ během té doby už byla aktivně zneužívána jako zero-day attack
• Během této „tiché fáze“ bylo infikováno přes 14 000 zařízení, celkem pak více než 20 000 FortiGate firewallů po celém světě

🕰️ Jak šly události reálně po sobě

• Podle zprávy nizozemské vojenské rozvědky MIVD z 12. prosince 2023 šlo o čínskou státem podporovanou skupinu, která zneužila zranitelnost k cílenému napadení vládních a obranných sítí.
• Nasadili vlastní malware zvaný CoatHanger, který:
  • se trvale usadil v zařízení (přežije reboot i firmware update)
  • je extrémně těžko detekovatelný
  • umožňuje trvalý vzdálený přístup
• Cílem byly západní vlády, obranný průmysl, mezinárodní organizace → včetně holandského ministerstva obrany, kde se malware dostal do výzkumné sítě

🔍 Byla to chyba implementace?

Ano — šlo o programátorskou chybu v SSL-VPN komponentě FortiOS, konkrétně:

• Nesprávné zpracování paměti → útočník mohl poslat speciálně upravený požadavek
• Fortinet to neoznámil včas, což je u zranitelnosti s kritickým skóre 9.3/10 dost zásadní selhání

🧠 Pro přesnost:

• CVSS v3: 9.3 / 10 → kritická zranitelnost → Kategorie: Remote Code Execution bez autentizace (heap overflow v SSL-VPN daemonu sslvpnd)

⚠️ Co z toho plyne?

• Edge zařízení (firewally, VPN brány) jsou extrémně citlivé → mají přímý kontakt s internetem
• Vendor lock-in a závislost na uzavřeném firmware může být rizikem, pokud výrobce nekomunikuje včas
• Otevřené platformy jako OPNsense nebo pfSense umožňují rychlejší reakci, komunitní audit a transparentnost

CoatHanger malware stále může být aktivní na řadě FortiGate zařízeních po celém světě, a to i přesto, že Fortinet vydal opravu pro zranitelnost CVE-2022-42475 už v listopadu 2022

📊 Stav k dnešku

• Podle nizozemské rozvědky MIVD a AIVD:
  • Malware byl nasazen cíleně na vybraná zařízení (např. ministerstva, obranný průmysl)
  • Počet zařízení s aktivním malwarem není znám, ale pravděpodobně jich je stále mnoho
  • Útočníci si mohou rozšířit přístup kdykoli, protože malware zůstává aktivní

🛡️ Co s tím?

• Pokud máš FortiGate zařízení, které běželo na zranitelných verzích FortiOS (např. 7.0.x, 7.2.x), je nutné:
  • Provést forenzní analýzu – hledat známky kompromitace (např. soubory jako libips.bak, libgif.so, .sslvpnconfigbk)
  • Zvážit úplné přeinstalování zařízení (totální formát všech partitions)
  • Segmentovat síť, aby se malware nemohl šířit dál

odkaz na oficiální advisory:

https://www.fortiguard.com/psirt/FG-IR-22-398

🧨 Proč se ho nelze snadno zbavit?

• Malware přežívá reboot i firmware upgrade → je navržen tak, aby se „zabydlel“ v systému a zůstal i po aktualizaci
• Nejde ho detekovat běžnými CLI příkazy → maskuje se, manipuluje logy, dokonce umí upravit IPS engine knihovny
• Fortinet sám přiznal, že jediný známý způsob odstranění je:
  • „Jediný známý způsob odstranění malwaru CoatHanger je kompletní vymazání zařízení a znovuinstalace s čistou konfigurací.“

🛠️ Jak se dá CoatHanger odstranit?

• 🔥 Formátování storage – ne jen reset, ale totální zápis přes všechna oddílová data
• 🧠 Vyčištění konfiguračních souborů – malware se může schovávat i v záložních config verzích
• 🛡️ Manuální re-konfigurace – nepoužívat staré exporty, které by mohly obsahovat kompromitované části

A ano, i po aktualizaci firmware a restartu zůstal malware aktivní, protože si vytvořil systémově integrované hooky, které upravují vnitřní knihovny FortiOS.

Tento článek slouží jako technické shrnutí bezpečnostních událostí souvisejících s firewally Fortinet. Informace vycházejí z veřejně dostupných zdrojů (např. CVE databáze, bezpečnostní analýzy, zprávy vládních agentur) a mají za cíl informovat odbornou komunitu o rizicích spojených s provozem edge zařízení. Nejedná se o hodnocení značky Fortinet, ale o popis incidentu a jeho technických aspektů. Uvítáme případné upřesnění nebo doplnění od čtenářů či výrobce.

ℹ️ Zdroje: MIVD – Zpráva o zahraničních kybernetických hrozbách, 12. 12. 2023: „Čínská skupina využila zero-day zranitelnost ve FortiOS k trvalému napadení západních sítí.“

✍️ Úvodní právní poznámka k porovnání

Tento dokument slouží jako technické srovnání firewallových řešení, založené na veřejně dostupných informacích, zkušenostech s reálným nasazením a popisem funkcí jednotlivých produktů. Cílem je poskytnout přehled možností, výhod a rozdílů mezi uzavřenými komerčními systémy (např. FortiGate) a otevřenými platformami (např. OPNsense) tak, aby si zákazník mohl zvolit nejvhodnější variantu pro svou síťovou infrastrukturu.

Nejedná se o marketingové hodnocení ani recenzi, ale o faktické shrnutí funkcionalit, přístupů k správě, možností rozšíření, a nákladových aspektů.

Veškeré informace jsou uvedeny s maximální snahou o přesnost – pokud byste v obsahu našli chybu či neaktuální údaj, budeme rádi za zpětnou vazbu.

FortiGate / FortiClient + FortiCloud:

• Nové zařízení se musí připojit přes WAN → jinak se neaktivuje ani nenastaví
• Připojení do Vašeho Fortinet účtu na jejich cloudovém portálu → FortiCloud provisioning
• Nastavení probíhá z jejich GUI (FortiManager / FortiCloud), ne lokálně
• Bez internetu: 💥 game over → nepřihlásíte se, nezměníte nic, ani základní policy

➡️ To všechno je vendor lock-in + cloud závislost.

Funguje to hladce, dokud je inet a Fortinet nejede údržbu.

🔧 Klasický firewall: OPNsense / pfSense / Proxmox appliance

• Připojíš přes LAN → máš okamžitý přístup k lokálnímu GUI
• WAN nastavuješ až po tom, co všechno připravíš → plná kontrola
• Když se rozbije net nebo DNS, můžeš firewall normálně dál spravovat
• Nečekáš na žádnou synchronizaci, FortiToken, FortiCloud nebo zamčené firmware

💡 Prostě stará škola, která nechce cloudem řídit tvou bránu do světa.

🤬 Srovnání: FortiGate vs open-source filozofie

S tím hackováním se nám teď v tom internetu roztrhnul pytel. Už útočí nejen Vaše mikrovlnky a ledničky, televize nebo ipkamery a nikoho to nepřekvapí 🙂 Co ale naštve, když útočí už i telefony, resp. smartfony viz článek na živě.cz

Tady končí legrace, protože ikdyž bude majitel smatfonu sebevíc bezohledný a škody působené ostatním mu budou jedno, tak co ale baterka, kterou tyhle srandy vybíjejí o sto šest. Jestli se Váš smartfon rychle vybíjí a před tím vydržel znatelně déle, je na čase se zamyslet a zajít za doktorem (telefonů samozřejmě).

…a byla vyzrazena databáze zákaznických hesel. Já, jako jejich zákazník jsem obdržel tento e-mail:

Dobrý den,

píšeme Vám, protože Vaše původní heslo k MALL.cz už nefunguje. Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, zaznamenali jsme totiž pokus o narušení bezpečnosti, který se dotkl starší databáze uživatelských účtů, jež neměly dostatečné silné heslo.  Aby Váš účet nikdo nezneužil, neváhali jsme a neprodleně jej zablokovali.

Pokračovat ve čtení